22.07.2019
W najbardziej zróżnicowanym dzisiejszym biznesie konieczne jest przeszycie certyfikacji zgodnie ze standardem PCI DSS. Naturalnie, kierownictwo firm rodzi wiele pytań. W trakcie licznych negocjacji z klientami udało nam się ustalić, że istnieją takie pytania, które interesują większość naszych klientów.
W tym artykule postanowiliśmy udzielić szczegółowych odpowiedzi na pięć najczęstszych pytań dotyczących standardu PCI DSS.
Pierwsze pytanie: Czy musimy przeprowadzić certyfikację PCI DSS, jeśli nasza firma nie przechowuje danych kart płatniczych?
W standardzie PCI DSS stwierdza się, że jego wymagania dotyczą wszystkich firm przechowujących, przetwarzających lub przesyłających dane kart płatniczych. Wymagania standardu obejmują także firmy, które potencjalnie mogą wpływać na bezpieczeństwo kart płatniczych.
Firma może nie przechowywać danych kart płatniczych, ale jest zobowiązana do przeprowadzenia certyfikacji. Jeśli firma przesyła dane kart płatniczych przez sieć, używa tych danych lub może uzyskać do nich dostęp, taka firma automatycznie staje się uczestnikiem systemu płatniczego i musi przejść certyfikację PCI DSS.
Przykładem takich przypadków może być dostawca usług internetowych, który dostarcza kanały transmisji danych dla centrum przetwarzania lub centrum danych. Na terenie centrum przetwarzania znajdują się serwery klientów przechowujące dane kartowe. Ta firma (dostawca usług internetowych) potencjalnie ma dostęp do danych kart płatniczych, dlatego musi przeprowadzić certyfikację zgodnie ze standardem PCI DSS.
Drugie pytanie: Czy trzeba zaprosić audytora PCI DSS do przeprowadzenia certyfikacji?
Jeśli prowadzisz małą firmę i przetwarzasz do 300 tysięcy transakcji rocznie, wówczas możesz przejść certyfikację przy użyciu uproszczonej procedury. Ta procedura obejmuje samodzielne wypełnienie prostego kwestionariusza. Nazywamy to certyfikacją za pomocą kwestionariusza samooceny.
Możesz nie zapraszać certyfikowanego audytora, ale w takim przypadku musisz mieć w firmie certyfikowanego audytora wewnętrznego (ISA). Warto zauważyć, że szkolenie i certyfikacja takiego specjalisty trwają około dwóch miesięcy, a ich koszt wynosi około 5-6 tysięcy dolarów amerykańskich.
Jest jeszcze jeden czynnik ograniczający. Aby przeprowadzić płatności, musisz podłączyć swoją firmę do banków lub bram płatności. Te organizacje mogą jednak wymagać podpisu zewnętrznego audytora QSA na twoim kwestionariuszu.
Podsumowując, można teoretycznie obejść się bez zewnętrznego audytora, ale praktycznie korzystniej i łatwiej jest się do niego zwrócić. To pomoże zaoszczędzić zarówno czas, jak i pieniądze.
Trzecie pytanie: Czy można po prostu zakupić certyfikat PCI DSS bez przeprowadzania audytu?
Nasza odpowiedź: NIE!
To nie dlatego, że audytorzy są nieufni, ale sam certyfikat nie jest potwierdzeniem zgodności z normą PCI DSS i jako dokument nie ma żadnej wartości.
Firma, która pomyślnie przeszła audyt i certyfikację zgodnie ze standardem PCI DSS, otrzymuje oprócz samego certyfikatu jeszcze dwa bardzo istotne dokumenty:1. Certyfikat zgodności. To właśnie ten dokument trzeba przedstawiać na żądanie banków i systemów płatniczych.2. Dla małych i średnich przedsiębiorstw jest to kwestionariusz samooceny, a dla dużych firm jest to raport zgodności.
Format tych dwóch dokumentów jest ściśle ustalony przez Radę Standardów Bezpieczeństwa Przemysłu Kart Płatniczych (PCI SSC). Przykłady tych dokumentów są dostępne na ich stronie internetowej i można je samodzielnie przestudiować.
Czwarte pytanie: Czy trzeba certyfikować się zgodnie ze standardem PCI DSS, jeśli nasza firma nie ma żadnej infrastruktury IT?
Tylko niewielka część wymagań PCI DSS odnosi się do infrastruktury IT. Większość standardu opisuje, jak powinny być zorganizowane procesy biznesowe i mówi o tym, jak powinna być zbudowana struktura zasad i procedur firmy.
Nawet jeśli firma nie posiada ani jednego komputera czy serwera, ale zatrudnia pracowników, którzy w jakiś sposób mogą uzyskać dostęp do danych kart płatniczych, to musi wdrożyć politykę bezpieczeństwa informacji, zaimplementować mechanizmy kontroli dostępu do danych kart płatniczych i przejść przez proces certyfikacji PCI DSS.
Przykład z naszej praktyki: Mamy klienta, którego pracownicy świadczą usługi outsourcingu dla ukraińskich banków.
Podczas świadczenia usług pracownikom tej firmy konieczne jest uzyskiwanie dostępu do kluczowych systemów banków przetwarzających dane kart płatniczych. Ta firma nie posiada infrastruktury IT.
Udało nam się pomyślnie certyfikować tę firmę. Stało się to dzięki odpowiedniemu zorganizowaniu procesów szkoleniowych i kontroli pracowników klienta.
Podsumowując, istnieją przypadki, gdy firma nie posiada infrastruktury IT, ale zgodność ze standardem PCI DSS jest konieczna do prowadzenia procesów biznesowych.
Piąte pytanie: Jak długo ważny jest certyfikat PCI DSS i czy konieczna jest jego ponowna certyfikacja?
Certyfikację zgodnie ze standardem PCI DSS należy przeprowadzać corocznie, przy czym ponowny certyfikat powinien być uzyskany przed upływem terminu ważności poprzedniego. Firmy, które nie chcą przerwać okresu ważności certyfikatu, powinny zastanowić się z wyprzedzeniem nad przeprowadzeniem wszystkich procedur przed datą wygaśnięcia certyfikatu.
Zazwyczaj ponowna certyfikacja standardu PCI DSS zajmuje mniej czasu niż pierwotna. W firmie, która ponownie przeprowadza certyfikację dla swoich klientów, może obowiązywać system rabatów. W naszej firmie istnieją takie rabaty, i udzielamy ich wszystkim klientom podczas procesu ponownej certyfikacji.
W tym artykule dotknęliśmy pięciu najczęstszych pytań. Oczywiście mogą pojawić się inne pytania. Udzielimy odpowiedzi na każde z nich. Aby to zrobić, skontaktuj się z naszym konsultantem za pomocą formularza kontaktowego.